Opet SYN flood (evergreen)

Pondělí Listopad 1 11:33:32 CET 1999

On Sun, 31 Oct 1999, Michal Krause wrote:

> a) na serveru absolutne neroste zatez (momentalne je load pouhych 0.3)
> b) bezi velice malo procesu Apache, takze nejde o zadny zvyseny provoz
> c) mnoho spojeni se opravdu ztraci (Connection refused by peer)

Refused? Co rika netstat -a?

> Pokud o chybu nejde a pricinou je opravdu utok, pak bych rad vedel, jestli
> lze nejak zmensit pravdepodobnost, ze utocnik uspeje. Zda se totiz, ze
> utok je veden neobycejnou silou, nebot nezabiraji ani SYN cookies. Napadlo
> me napriklad, zda nejde nejakym patchem zvetsit jaderne struktury pro
> prichozi spojeni nebo provest jine podobny opatreni (pameti je dost).

SYN cookies jsou obranou proti takovemu utoku, kdy utocnik falsuje svoji
IP adresu. Lepe receno znemoznuji utok realizovat v pripade, kdy utocnik
nevidi pakety smerujici na udanou klientskou IP adresu ani nema k dispozici
dost brutalni vypocetni silu na prolomeni kryptografie, kterou cookies
pouzivaji, coz v praxi znamena, ze je potencialni utocnik omezen jen na
svoji skutecnou IP adresu, resp. adresy blizke (napr. ze svoji site),
procez je ho jednoduche 1. odfiltrovat, 2. identifikovat a potrestat.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."